Distribuir conteúdo do Power BI para usuários convidados externos usando o Microsoft Entra B2B

Resumo: Este é um whitepaper técnico que descreve como distribuir conteúdo para usuários fora da organização usando a integração do Microsoft Entra ID (anteriormente conhecido como Azure Ative Directory) business-to-business (Microsoft Entra B2B).

Escritores: Lukasz Pawlowski, Kasper de Jonge

Revisores técnicos: Adam Wilson, Sheng Liu, Qian Liang, Sergei Gundorov, Jacob Grimm, Adam Saxton, Maya Shenhav, Nimrod Shalit, Elisabeth Olson

Nota

Você pode salvar ou imprimir este whitepaper selecionando Imprimir no navegador e, em seguida, selecionando Salvar como PDF.

Introdução

O Power BI oferece às organizações uma visão de 360 graus de seus negócios e capacita todos nessas organizações a tomar decisões inteligentes usando dados. Muitas dessas organizações têm relações fortes e de confiança com parceiros externos, clientes e contratantes. Essas organizações precisam fornecer acesso seguro a painéis e relatórios do Power BI para usuários nesses parceiros externos.

O Power BI integra-se com o Microsoft Entra business-to-business (Microsoft Entra B2B) para permitir a distribuição segura de conteúdo do Power BI a utilizadores convidados fora da organização, mantendo simultaneamente o controlo e controlando o acesso aos dados internos.

Este white paper aborda todos os detalhes necessários para entender a integração do Power BI com o Microsoft Entra B2B. Cobrimos seu caso de uso mais comum, configuração, licenciamento e segurança em nível de linha.

Cenários

A Contoso é um fabricante automotivo e trabalha com muitos fornecedores diversos que lhe fornecem todos os componentes, materiais e serviços necessários para executar suas operações de fabricação. A Contoso quer simplificar sua logística da cadeia de suprimentos e planeja usar o Power BI para monitorar as principais métricas de desempenho de sua cadeia de suprimentos. A Contoso deseja compartilhar análises com parceiros externos da cadeia de suprimentos de forma segura e gerenciável.

A Contoso pode habilitar as seguintes experiências para usuários externos usando o Power BI e o Microsoft Entra B2B.

Compartilhamento ad hoc por item

A Contoso trabalha com um fornecedor que cria radiadores para os carros da Contoso. Muitas vezes, eles precisam otimizar a confiabilidade dos radiadores usando dados de todos os carros da Contoso. Um analista da Contoso usa o Power BI para compartilhar um relatório de confiabilidade do radiador com um engenheiro do fornecedor. O engenheiro recebe um e-mail com um link para visualizar o relatório.

Conforme descrito acima, esse compartilhamento ad-hoc é realizado por usuários corporativos conforme necessário. O link enviado pelo Power BI para o usuário externo é um link de convite do Microsoft Entra B2B. Quando o usuário externo abre o link, ele é solicitado a ingressar na organização Microsoft Entra da Contoso como usuário convidado. Depois que o convite for aceito, o link abrirá o relatório ou painel específico. O administrador do Microsoft Entra delega permissão para convidar usuários externos para a organização e escolhe o que esses usuários podem fazer quando aceitarem o convite, conforme descrito na seção Governança deste documento. O analista da Contoso pode convidar o usuário convidado somente porque o administrador do Microsoft Entra permitiu essa ação e o administrador do Power BI permitiu que os usuários convidassem convidados para exibir conteúdo nas configurações de locatário do Power BI.

1. O processo começa com um usuário interno da Contoso compartilhando um painel ou um relatório com um usuário externo. Se o usuário externo ainda não for um convidado na ID do Microsoft Entra da Contoso, ele será convidado. Um email é enviado para o endereço de email que inclui um convite para a ID do Microsoft Entra da Contoso.
2. O destinatário aceita o convite para a ID do Microsoft Entra da Contoso e é adicionado como usuário convidado na ID do Microsoft Entra da Contoso.
3. O destinatário é então redirecionado para o painel, relatório ou aplicativo do Power BI.

O processo é considerado ad-hoc, uma vez que os usuários corporativos na Contoso executam a ação de convite conforme necessário para seus fins comerciais. Cada item compartilhado é um único link que o usuário externo pode acessar para visualizar o conteúdo.

Depois que o usuário externo for convidado a acessar os recursos da Contoso, uma conta sombra poderá ser criada para ele na ID do Microsoft Entra da Contoso e ele não precisará ser convidado novamente. Na primeira vez que tentam acessar um recurso da Contoso como um painel do Power BI, eles passam por um processo de consentimento, que resgata o convite. Se eles não concluírem o consentimento, não poderão acessar nenhum conteúdo da Contoso. Se eles tiverem problemas para resgatar o convite por meio do link original fornecido, um administrador do Microsoft Entra poderá reenviar um link de convite específico para que ele resgate.

Compartilhamento planejado por item

A Contoso trabalha com um subcontratado para executar a análise de confiabilidade de radiadores. O subcontratado tem uma equipe de 10 pessoas que precisam acessar dados no ambiente do Power BI da Contoso. O administrador do Microsoft Entra da Contoso está envolvido para convidar todos os usuários e lidar com quaisquer adições/alterações como pessoal na alteração do subcontratado. O administrador do Microsoft Entra cria um grupo de segurança para todos os funcionários do subcontratado. Usando o grupo de segurança, os funcionários da Contoso podem gerenciar facilmente o acesso a relatórios e garantir que todo o pessoal subcontratado necessário tenha acesso a todos os relatórios, painéis e aplicativos do Power BI necessários. O administrador do Microsoft Entra também pode evitar completamente o envolvimento no processo de convite, optando por delegar direitos de convite a um funcionário confiável na Contoso ou no subcontratado para garantir o gerenciamento de pessoal em tempo hábil.

Algumas organizações exigem mais controle sobre quando usuários externos são adicionados, estão convidando muitos usuários em uma organização externa ou muitas organizações externas. Nesses casos, o compartilhamento planejado pode ser usado para gerenciar a escala do compartilhamento, para impor políticas organizacionais e até mesmo para delegar direitos a indivíduos confiáveis para convidar e gerenciar usuários externos. O Microsoft Entra B2B dá suporte a convites planejados a serem enviados diretamente do portal do Azure por um administrador de TI ou por meio do PowerShell usando a API do gerenciador de convites, onde um conjunto de usuários pode ser convidado em uma ação. Usando a abordagem de convites planejados, a organização pode controlar quem pode convidar usuários e implementar processos de aprovação. Recursos avançados do Microsoft Entra, como grupos dinâmicos, podem facilitar a manutenção automática da associação ao grupo de segurança.

1. O processo começa com um administrador de TI convidando o usuário convidado manualmente ou por meio da API fornecida pelo Microsoft Entra ID.
2. O usuário aceita o convite para a organização.
3. Depois que o usuário aceitar o convite, um usuário no Power BI poderá compartilhar um relatório ou painel com o usuário externo ou um grupo de segurança em que esteja. Assim como no compartilhamento regular no Power BI, o usuário externo recebe um email com o link para o item.
4. Quando o usuário externo acessa o link, sua autenticação em seu diretório é passada para a ID do Microsoft Entra da Contoso e usada para obter acesso ao conteúdo do Power BI.

Compartilhamento ad hoc ou planejado de aplicativos do Power BI

A Contoso tem um conjunto de relatórios e painéis que precisa compartilhar com um ou mais Fornecedores. Para garantir que todos os usuários externos necessários tenham acesso a esse conteúdo, ele é empacotado como um aplicativo do Power BI. Os usuários externos são adicionados diretamente à lista de acesso ao aplicativo ou por meio de grupos de segurança. Em seguida, alguém na Contoso envia a URL do aplicativo para todos os usuários externos, por exemplo, em um email. Quando os usuários externos abrem o link, eles veem todo o conteúdo em uma única experiência fácil de navegar.

Usar um aplicativo Power BI facilita para a Contoso a criação de um Portal de BI para seus fornecedores. Uma única lista de acesso controla o acesso a todo o conteúdo necessário, reduzindo o tempo desperdiçado, verificando e definindo permissões no nível do item. O Microsoft Entra B2B mantém o acesso de segurança usando a identidade nativa do Fornecedor para que os usuários não precisem de credenciais de entrada adicionais. Se estiver usando convites planejados com grupos de segurança, o gerenciamento de acesso ao aplicativo à medida que o pessoal entra ou sai do projeto é simplificado. Associação a grupos de segurança manualmente ou usando grupos dinâmicos, para que todos os usuários externos de um fornecedor sejam adicionados automaticamente ao grupo de segurança apropriado.

1. O processo começa quando o usuário é convidado para a organização Microsoft Entra da Contoso por meio do portal do Azure ou do PowerShell.
2. O usuário pode ser adicionado a um grupo de usuários no Microsoft Entra ID. Um grupo de usuários estático ou dinâmico pode ser usado, mas os grupos dinâmicos ajudam a reduzir o trabalho manual.
3. Os usuários externos recebem acesso ao Aplicativo Power BI por meio do grupo de usuários. O URL do aplicativo deve ser enviado diretamente para o usuário externo ou colocado em um site ao qual ele tenha acesso. O Power BI faz o melhor esforço para enviar um email com o link do aplicativo para usuários externos, mas ao usar grupos de usuários cuja associação pode mudar, o Power BI não consegue enviar para todos os usuários externos gerenciados por meio de grupos de usuários.
4. Quando o usuário externo acessa a URL do aplicativo Power BI, ele é autenticado pela ID do Microsoft Entra da Contoso, o aplicativo é instalado para o usuário e o usuário pode ver todos os relatórios e painéis contidos no aplicativo.

Os aplicativos também têm um recurso exclusivo que permite que os autores do aplicativo instalem o aplicativo automaticamente para o usuário, para que ele esteja disponível quando o usuário fizer login. Esse recurso só é instalado automaticamente para usuários externos que já fazem parte da organização da Contoso no momento em que o aplicativo é publicado ou atualizado. Assim, é melhor usado com a abordagem de convites planejados e depende do aplicativo que está sendo publicado ou atualizado depois que os usuários são adicionados à ID do Microsoft Entra da Contoso. Os usuários externos sempre podem instalar o aplicativo usando o link do aplicativo.

Comentar e subscrever conteúdo em todas as organizações

Como a Contoso continua a trabalhar com seus subcontratados ou fornecedores, os engenheiros externos precisam trabalhar em estreita colaboração com os analistas da Contoso. O Power BI fornece vários recursos de colaboração que ajudam os usuários a se comunicarem sobre o conteúdo que podem consumir. O comentário do painel (e, em breve, o comentário do relatório) permite que os usuários discutam os pontos de dados que veem e se comuniquem com os autores do relatório para fazer perguntas.

Atualmente, os utilizadores convidados externos podem participar nos comentários, deixando comentários e lendo as respostas. No entanto, ao contrário dos usuários internos, os usuários convidados não podem ser @mentioned e não recebem notificações de que receberam um comentário. Os usuários convidados podem usar o recurso de assinaturas no Power BI para se inscreverem em um relatório ou painel. Saiba mais em Subscrições de e-mail para relatórios e dashboards no serviço Power BI.

Aceder a conteúdo em aplicações móveis do Power BI

Quando o usuário convidado abrir o link para o relatório ou painel em seu dispositivo móvel, o conteúdo será aberto nos aplicativos móveis nativos do Power BI em seu dispositivo, se eles estiverem instalados. O usuário convidado poderá navegar entre o conteúdo compartilhado com ele no locatário externo e voltar para seu próprio conteúdo do locatário doméstico. Para obter mais informações sobre como aceder a conteúdo que foi partilhado consigo a partir de uma organização externa através de aplicações móveis do Power BI, consulte Ver conteúdo do Power BI partilhado consigo a partir de uma organização externa.

Relações organizacionais usando Power BI e Microsoft Entra B2B

Quando todos os usuários do Power BI são internos à organização, não há necessidade de usar o Microsoft Entra B2B. No entanto, quando duas ou mais organizações quiserem colaborar em dados e insights, o suporte do Power BI para o Microsoft Entra B2B torna isso fácil e econômico.

Abaixo estão normalmente encontradas estruturas organizacionais que são adequadas para a colaboração entre organizações no estilo B2B do Microsoft Entra no Power BI. O Microsoft Entra B2B funciona bem na maioria dos casos, mas em algumas situações vale a pena considerar as abordagens alternativas comuns abordadas no final deste documento.

Caso 1: Colaboração direta entre organizações

O relacionamento da Contoso com seu fornecedor de radiadores é um exemplo de colaboração direta entre organizações. Como há relativamente poucos usuários na Contoso e em seu fornecedor que precisam de acesso às informações de confiabilidade do radiador, usar o compartilhamento externo baseado em B2B do Microsoft Entra é ideal. É fácil de usar e simples de administrar. Este também é um padrão comum em serviços de consultoria, onde um consultor pode precisar criar conteúdo para uma organização.

Normalmente, esse compartilhamento ocorre inicialmente usando o compartilhamento Ad hoc por item. No entanto, à medida que as equipes crescem ou os relacionamentos se aprofundam, a abordagem de compartilhamento planejado por item torna-se o método preferido para reduzir a sobrecarga de gerenciamento. Além disso, o compartilhamento ad hoc ou planejado de aplicativos do Power BI, comentários e assinatura de conteúdo entre organizações, o acesso ao conteúdo em aplicativos móveis também podem entrar em jogo. É importante ressaltar que, se os usuários de ambas as organizações tiverem licenças do Power BI Pro em suas respetivas organizações, eles poderão usar essas licenças Pro nos ambientes do Power BI uma da outra. Isso fornece um licenciamento vantajoso, já que a organização convidadora pode não precisar pagar por uma licença do Power BI Pro para os usuários externos. Isso é discutido em mais detalhes na seção Licenciamento, mais adiante neste documento.

Caso 2: Empresa-mãe e suas subsidiárias ou afiliadas

Algumas estruturas organizacionais são mais complexas, incluindo subsidiárias parcial ou totalmente, empresas afiliadas ou relacionamentos com provedores de serviços gerenciados. Essas organizações têm uma organização-mãe, como uma holding, mas as organizações subjacentes operam de forma semiautônoma, às vezes sob diferentes requisitos regionais. Isso faz com que cada organização tenha seu próprio ambiente Microsoft Entra e locatários separados do Power BI.

Nessa estrutura, a organização-mãe normalmente precisa distribuir insights padronizados para suas subsidiárias. Normalmente, esse compartilhamento ocorre usando a abordagem de compartilhamento ad hoc ou planejado de Aplicativos do Power BI, conforme ilustrado na imagem a seguir, pois permite a distribuição de conteúdo autoritativo padronizado para públicos amplos. Na prática, é utilizada uma combinação de todos os cenários mencionados anteriormente neste documento.

Isto segue o seguinte processo:

1. Os usuários de cada subsidiária são convidados para a ID do Microsoft Entra da Contoso
2. Em seguida, o aplicativo Power BI é publicado para dar a esses usuários acesso aos dados necessários
3. Finalmente, os usuários abrem o aplicativo por meio de um link que lhes foi dado para ver os relatórios

Vários desafios importantes são enfrentados pelas organizações nesta estrutura:

• Como distribuir links para conteúdo no Power BI da organização pai
• Como permitir que usuários subsidiários acessem a fonte de dados hospedada pela organização pai

Distribuindo links para conteúdo no Power BI da organização pai

Três abordagens são comumente usadas para distribuir links para o conteúdo. A primeira e mais básica é enviar o link para o aplicativo para os usuários necessários ou colocá-lo em um site do SharePoint Online a partir do qual ele pode ser aberto. Os usuários podem então marcar o link em seus navegadores para acesso mais rápido aos dados de que precisam.

A segunda abordagem é onde a organização pai permite que os usuários das subsidiárias acessem seu Power BI e controles que eles podem acessar por meio de permissão. Isso dá acesso ao Power BI Home, onde o usuário da subsidiária vê uma lista abrangente de conteúdo compartilhado com ele no locatário da organização pai. Em seguida, a URL para o ambiente do Power BI da organização pai é fornecida aos usuários nas subsidiárias.

A abordagem final usa um aplicativo do Power BI criado dentro do locatário do Power BI para cada subsidiária. O aplicativo Power BI inclui um painel com blocos configurados com a opção de link externo. Quando o usuário pressiona o bloco, ele é levado para o relatório, painel ou aplicativo apropriado no Power BI da organização pai. Essa abordagem tem a vantagem adicional de que o aplicativo pode ser instalado automaticamente para todos os usuários na subsidiária e está disponível para eles sempre que entrarem em seu próprio ambiente do Power BI. Uma vantagem adicional dessa abordagem é que ela funciona bem com aplicativos móveis do Power BI que podem abrir o link nativamente. Você também pode combinar isso com a segunda abordagem para permitir uma alternância mais fácil entre ambientes do Power BI.

Permitindo que usuários subsidiários acessem fontes de dados hospedadas pela organização pai

Muitas vezes, os analistas de uma subsidiária precisam criar suas próprias análises usando dados fornecidos pela organização-mãe. Nesse caso, geralmente as fontes de dados em nuvem são usadas para enfrentar o desafio.

A primeira abordagem usa o Azure Analysis Services para criar um data warehouse de nível empresarial que atenda às necessidades dos analistas em toda a controladora e suas subsidiárias, conforme mostrado na imagem a seguir. A Contoso pode hospedar os dados e usar recursos como segurança em nível de linha para garantir que os usuários em cada subsidiária possam acessar apenas seus dados. Os analistas de cada organização podem acessar o data warehouse por meio do Power BI Desktop e publicar as análises resultantes para seus respetivos locatários do Power BI.

A segunda abordagem usa o Banco de Dados SQL do Azure para criar um data warehouse relacional para fornecer acesso aos dados. Isso funciona de forma semelhante à abordagem do Azure Analysis Services, embora alguns recursos, como a segurança em nível de linha, possam ser mais difíceis de implantar e manter entre subsidiárias.

Abordagens mais sofisticadas também são possíveis, no entanto, as acima são de longe as mais comuns.

Caso 3: Ambiente partilhado entre parceiros

A Contoso pode firmar uma parceria com um concorrente para construir um carro em conjunto em uma linha de montagem compartilhada, mas para distribuir o veículo sob marcas diferentes ou em regiões diferentes. Isso requer ampla colaboração e copropriedade de dados, inteligência e análises em todas as organizações. Essa estrutura também é comum no setor de serviços de consultoria, onde uma equipe de consultores pode fazer análises baseadas em projetos para um cliente.

Na prática, essas estruturas são complexas, como mostra a imagem a seguir, e exigem pessoal para manter. Para serem eficazes, as Organizações têm permissão para reutilizar licenças do Power BI Pro adquiridas para seus respetivos locatários do Power BI.

Para estabelecer um locatário compartilhado do Power BI, uma ID do Microsoft Entra precisa ser criada e pelo menos uma conta de usuário do Power BI Pro precisa ser comprada para um usuário nesse locatário. Este usuário convida os usuários necessários para a organização compartilhada. É importante ressaltar que, nesse cenário, os usuários da Contoso são tratados como usuários externos quando operam no Power BI da Organização Compartilhada.

O processo é o seguinte:

1. A Organização Compartilhada é estabelecida como uma nova ID do Microsoft Entra e pelo menos uma conta de usuário é criada no novo locatário. Esse usuário deve ter uma licença do Power BI Pro atribuída a ele.
2. Em seguida, esse usuário estabelece um locatário do Power BI e convida os usuários necessários da Contoso e da organização do parceiro. O usuário também estabelece quaisquer ativos de dados compartilhados, como o Azure Analysis Services. A Contoso e os usuários do Parceiro podem acessar o Power BI da organização compartilhada como usuários convidados. Normalmente, todos os ativos compartilhados são armazenados e acessados a partir da organização compartilhada.
3. Dependendo de como as partes concordam em colaborar, é possível que cada organização desenvolva seus próprios dados e análises proprietários usando ativos de data warehouse compartilhados. Eles podem distribuí-los para seus respetivos usuários internos usando seus locatários internos do Power BI.

Caso 4: Distribuição a centenas ou milhares de parceiros externos

Enquanto a Contoso criou um relatório de confiabilidade do radiador para um Fornecedor, agora a Contoso deseja criar um conjunto de relatórios padronizados para centenas de Fornecedores. Isso permite que a Contoso garanta que todos os fornecedores tenham as análises necessárias para fazer melhorias ou corrigir defeitos de fabricação.

Quando uma organização precisa distribuir dados e insights padronizados para muitos usuários/organizações externos, ela pode usar o cenário de compartilhamento ad hoc ou planejado de Aplicativos do Power BI para criar um Portal de BI rapidamente e sem custos de desenvolvimento extensos. O processo para criar esse portal usando um aplicativo Power BI é abordado no Estudo de Caso: Criando um Portal de BI usando o Power BI + Microsoft Entra B2B – Instruções passo a passo mais adiante neste documento.

Uma variante comum desse caso é quando uma organização está tentando compartilhar informações com os consumidores, especialmente quando deseja usar o Azure Ative Directory B2C com o Power BI. O Power BI não suporta nativamente o Azure Ative Directory B2C. Se você estiver avaliando opções para este caso, considere usar a Opção Alternativa 2 na seção Abordagens alternativas comuns mais adiante neste documento.

Estudo de caso: Criando um portal de BI usando o Power BI + Microsoft Entra B2B – Instruções passo a passo

A integração do Power BI com o Microsoft Entra B2B oferece à Contoso uma maneira perfeita e sem complicações de fornecer aos usuários convidados acesso seguro ao seu portal de BI. A Contoso pode configurar isso com três etapas:

1. Criar portal de BI no Power BI

   A primeira tarefa para a Contoso é criar seu portal de BI no Power BI. O portal de BI da Contoso consistirá em uma coleção de painéis e relatórios criados especificamente para esse fim que serão disponibilizados para muitos usuários internos e convidados. A maneira recomendada de fazer isso no Power BI é criar um aplicativo do Power BI. Saiba mais sobre aplicações no Power BI.

• A equipe de BI da Contoso cria um espaço de trabalho no Power BI

  

• Outros autores são adicionados ao espaço de trabalho

  

• O conteúdo é criado dentro do espaço de trabalho

  

  Agora que o conteúdo foi criado em um espaço de trabalho, a Contoso está pronta para convidar usuários convidados em organizações parceiras para consumir esse conteúdo.

2. Convidar usuários convidados

   Há duas maneiras de a Contoso convidar usuários convidados para seu portal de BI no Power BI:

   • Convites Planeados
   • Convites ad hoc

   Convites Planeados

   Nessa abordagem, a Contoso convida os usuários convidados para seu Microsoft Entra com antecedência e, em seguida, distribui o conteúdo do Power BI para eles. A Contoso pode convidar usuários convidados do portal do Azure ou usando o PowerShell. Aqui estão as etapas para convidar usuários convidados do portal do Azure:

   • O administrador do Microsoft Entra da Contoso navega para o portal>do Azure Utilizadores do Microsoft Entra ID>Todos>os utilizadores>Novo utilizador convidado

   

   • Adicione uma mensagem de convite para os usuários convidados e selecione Convidar

   

   Nota

   Para convidar usuários convidados do portal do Azure, você precisa de um administrador do Microsoft Entra para seu locatário.

   Se a Contoso quiser convidar muitos usuários convidados, eles poderão fazê-lo usando o PowerShell. O administrador do Microsoft Entra da Contoso armazena os endereços de email de todos os usuários convidados em um arquivo CSV. Aqui estão o código de colaboração B2B do Microsoft Entra e exemplos e instruções do PowerShell.

   Após o convite, os usuários convidados recebem um e-mail com o link do convite.

   

   Depois que os usuários convidados selecionarem o link, eles poderão acessar o conteúdo no locatário do Microsoft Entra da Contoso.

   Nota

   É possível alterar o layout do e-mail de convite usando o recurso de identidade visual Microsoft Entra ID, conforme descrito aqui.

   Convites ad hoc

   E se a Contoso não souber todos os usuários convidados que deseja convidar com antecedência? Ou, e se o analista da Contoso que criou o portal de BI quiser distribuir conteúdo para os próprios usuários convidados? Também damos suporte a esse cenário no Power BI com convites ad-hoc.

   O analista pode simplesmente adicionar os usuários externos à lista de acesso do aplicativo quando eles estão publicando-o. Os usuários convidados recebem um convite e, depois de aceitá-lo, são automaticamente redirecionados para o conteúdo do Power BI.

   

   Nota

   Os convites são necessários apenas na primeira vez que um usuário externo é convidado para sua organização.

3. Distribuir Conteúdo

   Agora que a equipe de BI da Contoso criou o portal de BI e convidou usuários convidados, eles podem distribuir seu portal para seus usuários finais, dando aos usuários convidados acesso ao aplicativo e publicando-o. O Power BI preenche automaticamente os nomes dos usuários convidados que foram adicionados anteriormente ao locatário da Contoso. Convites adhoc para outros usuários convidados também podem ser adicionados neste momento.

   Nota

   Se estiver usando grupos de segurança para gerenciar o acesso ao aplicativo para usuários externos, use a abordagem Convites planejados e compartilhe o link do aplicativo diretamente com cada usuário externo que deve acessá-lo. Caso contrário, o utilizador externo poderá não conseguir instalar ou visualizar conteúdo a partir do app._

   Os usuários convidados recebem um e-mail com um link para o aplicativo.

   

   Ao clicar neste link, os usuários convidados são solicitados a se autenticar com a identidade de sua própria organização.

   

   Depois de autenticados com êxito, eles são redirecionados para o aplicativo de BI da Contoso.

   

   Os usuários convidados podem acessar o aplicativo da Contoso clicando no link no email ou marcando o link. A Contoso também pode facilitar para os usuários convidados adicionando esse link a qualquer portal de extranet existente que os usuários convidados já usam.

4. Próximos passos

   Usando um aplicativo Power BI e o Microsoft Entra B2B, a Contoso conseguiu criar rapidamente um Portal de BI para seus fornecedores de forma sem código. Isso simplificou muito a distribuição de análises padronizadas para todos os fornecedores que precisavam.

   Embora o exemplo tenha mostrado como um único relatório comum pode ser distribuído entre fornecedores, o Power BI pode ir muito mais longe. Para garantir que cada parceiro veja apenas os dados relevantes para si, a Segurança em Nível de Linha pode ser adicionada facilmente ao relatório e ao modelo de dados. A seção Segurança de dados para parceiros externos, mais adiante neste documento, descreve esse processo em detalhes.

   Muitas vezes, relatórios e painéis individuais precisam ser incorporados a um portal existente. Isso também pode ser feito reutilizando muitas das técnicas mostradas no exemplo. No entanto, nessas situações, pode ser mais fácil incorporar relatórios ou painéis diretamente de um espaço de trabalho. O processo para convidar e atribuir permissão de segurança aos usuários necessários permanece o mesmo.

Nos bastidores: Como Lucy do Fornecedor1 pode acessar o conteúdo do Power BI do locatário da Contoso?

Agora que vimos como a Contoso é capaz de distribuir perfeitamente o conteúdo do Power BI para usuários convidados em organizações parceiras, vamos ver como isso funciona nos bastidores.

Quando a Contoso é convidada lucy@supplier1.com para seu diretório, a ID do Microsoft Entra cria um link entre Lucy@supplier1.com e o locatário do Microsoft Entra da Contoso. Este link permite que a ID do Microsoft Entra saiba que Lucy@supplier1.com pode acessar conteúdo no locatário da Contoso.

Quando Lucy tenta acessar o aplicativo Power BI da Contoso, a ID do Microsoft Entra verifica se Lucy pode acessar o locatário da Contoso e, em seguida, fornece ao Power BI um token que indica que Lucy está autenticada para acessar o conteúdo no locatário da Contoso. O Power BI usa esse token para autorizar e garantir que Lucy tenha acesso ao aplicativo Power BI da Contoso.

A integração do Power BI com o Microsoft Entra B2B funciona com todos os endereços de email comerciais. Se o usuário não tiver uma identidade do Microsoft Entra, ele poderá ser solicitado a criar uma. A imagem a seguir mostra o fluxo detalhado:

É importante reconhecer que a conta Microsoft Entra será usada ou criada na ID Microsoft Entra de terceiros, isso possibilitará que Lucy use seu próprio nome de usuário e senha e suas credenciais deixarão automaticamente de funcionar em outros locatários sempre que Lucy sair da empresa quando sua organização também usar o Microsoft Entra ID.

Licenciamento

A Contoso pode escolher uma das três abordagens para licenciar usuários convidados de seus fornecedores e organizações parceiras para ter acesso ao conteúdo do Power BI.

Nota

O nível gratuito do Microsoft Entra B2B é suficiente para usar o Power BI com o Microsoft Entra B2B. Alguns recursos avançados do Microsoft Entra B2B, como grupos dinâmicos, exigem licenciamento adicional. Para obter mais informações, consulte a documentação do Microsoft Entra B2B.

Abordagem 1: a Contoso usa o Power BI Premium

Com essa abordagem, a Contoso compra a capacidade do Power BI Premium e atribui seu conteúdo do portal de BI a essa capacidade. Isso permite que usuários convidados de organizações parceiras acessem o aplicativo Power BI da Contoso sem qualquer licença do Power BI.

Os usuários externos também estão sujeitos às experiências de consumo oferecidas apenas aos usuários "Gratuitos" no Power BI ao consumir conteúdo no Power BI Premium.

A Contoso também pode aproveitar outros recursos premium do Power BI para seus aplicativos, como taxas de atualização aumentadas, capacidade e tamanhos de modelo grandes.

Abordagem 2: A Contoso atribui licenças do Power BI Pro a usuários convidados

Com essa abordagem, a Contoso atribui licenças profissionais a usuários convidados de organizações parceiras – isso pode ser feito no centro de administração do Microsoft 365 da Contoso. Isso permite que usuários convidados de organizações parceiras acessem o aplicativo Power BI da Contoso sem comprar uma licença. Isso pode ser apropriado para compartilhar com usuários externos cuja organização ainda não adotou o Power BI.

Nota

A licença pro da Contoso se aplica a usuários convidados somente quando eles acessam conteúdo no locatário da Contoso. As licenças Pro permitem o acesso a conteúdo que não está em uma capacidade do Power BI Premium.

Abordagem 3: Os usuários convidados trazem sua própria licença do Power BI Pro

Com essa abordagem, o Fornecedor 1 atribui uma licença do Power BI Pro a Lucy. Em seguida, eles podem acessar o aplicativo Power BI da Contoso com essa licença. Como Lucy pode usar sua licença Pro de sua própria organização ao acessar um ambiente externo do Power BI, essa abordagem às vezes é chamada de traga sua própria licença (BYOL). Se ambas as organizações estiverem usando o Power BI, isso oferece licenciamento vantajoso para a solução de análise geral e minimiza a sobrecarga de atribuição de licenças a usuários externos.

Nota

A licença pro dada a Lucy pelo Fornecedor 1 aplica-se a qualquer inquilino do Power BI em que Lucy seja um utilizador convidado. As licenças Pro permitem o acesso a conteúdo que não está em uma capacidade do Power BI Premium.

Segurança de dados para parceiros externos

Normalmente, ao trabalhar com vários fornecedores externos, a Contoso precisa garantir que cada fornecedor veja dados apenas sobre seus próprios produtos. A segurança baseada no usuário e a segurança dinâmica em nível de linha facilitam isso com o Power BI.

Segurança baseada no utilizador

Um dos recursos mais poderosos do Power BI é a Segurança em Nível de Linha. Esse recurso permite que a Contoso crie um único relatório e modelo semântico (anteriormente conhecido como conjunto de dados), mas ainda aplique regras de segurança diferentes para cada usuário. Para obter uma explicação detalhada, consulte Segurança em nível de linha (RLS).

A integração do Power BI com o Microsoft Entra B2B permite que a Contoso atribua regras de Segurança em Nível de Linha a usuários convidados assim que eles forem convidados para o locatário da Contoso. Como vimos anteriormente, a Contoso pode adicionar usuários convidados por meio de convites planejados ou ad-hoc. Se a Contoso quiser impor a segurança em nível de linha, é altamente recomendável usar convites planejados para adicionar os usuários convidados com antecedência e atribuí-los às funções de segurança antes de compartilhar o conteúdo. Se, em vez disso, a Contoso usar convites ad-hoc, pode haver um curto período de tempo em que os usuários convidados não poderão ver nenhum dado.

Nota

Esse atraso no acesso a dados protegidos por RLS ao usar convites ad-hoc pode levar a solicitações de suporte para sua equipe de TI, porque os usuários verão relatórios/painéis em branco ou quebrados ao abrir um link de compartilhamento no e-mail que receberem. Portanto, é altamente recomendável usar convites planejados nesse cenário.

Vamos passar por isso com um exemplo.

Como mencionado anteriormente, a Contoso tem fornecedores em todo o mundo e eles querem garantir que os usuários de suas organizações fornecedoras obtenham informações de dados apenas de seu território. Mas os usuários da Contoso podem acessar todos os dados. Em vez de criar vários relatórios diferentes, a Contoso cria um único relatório e filtra os dados com base no usuário que o visualiza.

Para garantir que a Contoso possa filtrar dados com base em quem está se conectando, duas funções são criadas na área de trabalho do Power BI. Um para filtrar todos os dados do SalesTerritory "Europa" e outro para "América do Norte".

Sempre que as funções são definidas no relatório, um usuário deve ser atribuído a uma função específica para que ele tenha acesso a quaisquer dados. A atribuição de funções acontece dentro do serviço Power BI ( Modelos > semânticos de Segurança ).

Isso abre uma página onde a equipe de BI da Contoso pode ver as duas funções criadas. Agora, a equipe de BI da Contoso pode atribuir usuários às funções.

No exemplo, a Contoso está adicionando um usuário em uma organização parceira com endereço admin@fabrikam.com de email à função Europa:

Quando isso é resolvido pela ID do Microsoft Entra, a Contoso pode ver o nome aparecer na janela pronto para ser adicionado:

Agora, quando esse usuário abre o aplicativo que foi compartilhado com ele, ele só vê um relatório com dados da Europa:

Segurança dinâmica em nível de linha

Outro tópico interessante é ver como a segurança dinâmica em nível de linha (RLS) funciona com o Microsoft Entra B2B.

Em resumo, a segurança dinâmica em nível de linha funciona filtrando dados no modelo com base no nome de usuário da pessoa que se conecta ao Power BI. Em vez de adicionar várias funções para grupos de usuários, você define os usuários no modelo. Não descreveremos o padrão em detalhes aqui. Kasper de Jong oferece uma descrição detalhada de todos os tipos de segurança em nível de linha na folha de truques de segurança dinâmica do Power BI Desktop e neste whitepaper .

Vejamos um pequeno exemplo - a Contoso tem um relatório simples sobre vendas por grupos:

Agora, esse relatório precisa ser compartilhado com dois usuários convidados e um usuário interno - o usuário interno pode ver tudo, mas os usuários convidados só podem ver os grupos aos quais têm acesso. Isso significa que devemos filtrar os dados apenas para os usuários convidados. Para filtrar os dados adequadamente, a Contoso usa o padrão RLS dinâmico conforme descrito no whitepaper e na postagem do blog. Isso significa que a Contoso adiciona os nomes de usuário aos próprios dados:

Em seguida, a Contoso cria o modelo de dados correto que filtra os dados adequadamente com as relações corretas:

Para filtrar os dados automaticamente com base em quem está conectado, a Contoso precisa criar uma função que passe o usuário que está se conectando. Nesse caso, a Contoso cria duas funções – a primeira é a "securityrole" que filtra a tabela Usuários com o nome de usuário atual do usuário conectado ao Power BI (isso funciona até mesmo para usuários convidados do Microsoft Entra B2B).

A Contoso também cria outro "AllRole" para seus usuários internos que podem ver tudo – essa função não tem nenhum predicado de segurança.

Depois de carregar o arquivo da área de trabalho do Power BI para o serviço, a Contoso pode atribuir usuários convidados à "SecurityRole" e usuários internos à "AllRole"

Agora, quando os usuários convidados abrem o relatório, eles só veem as vendas do grupo A:

Na matriz à direita, você pode ver o resultado da função USERNAME() e USERPRINCIPALNAME(), ambas retornam o endereço de e-mail dos usuários convidados.

Agora o usuário interno começa a ver todos os dados:

Como você pode ver, o Dynamic RLS funciona com usuários internos ou convidados.

Nota

Esse cenário também funciona ao usar um modelo no Azure Analysis Services. Normalmente, o Azure Analysis Service está conectado à mesma ID do Microsoft Entra que o Power BI - nesse caso, o Azure Analysis Services também conhece os usuários convidados por meio do Microsoft Entra B2B.

Conectando-se a fontes de dados locais

O Power BI oferece a capacidade de a Contoso usar fontes de dados locais, como o SQL Server Analysis Services ou o SQL Server , diretamente graças ao gateway de dados local. É até possível entrar nessas fontes de dados com as mesmas credenciais usadas com o Power BI.

Nota

Ao instalar um gateway para se conectar ao seu locatário do Power BI, você deve usar um usuário criado dentro do seu locatário. Os usuários externos não podem instalar um gateway e conectá-lo ao seu tenant._

Para usuários externos, isso pode ser mais complicado, pois os usuários externos geralmente não são conhecidos pelo AD local. O Power BI oferece uma solução alternativa para isso, permitindo que os administradores da Contoso mapeiem os nomes de usuário externos para nomes de usuário internos, conforme descrito em Gerenciar sua fonte de dados - Analysis Services. Por exemplo, lucy@supplier1.com pode ser mapeado para lucy_supplier1_com#EXT@contoso.com.

Esse método é bom se a Contoso tiver apenas alguns usuários ou se a Contoso puder mapear todos os usuários externos para uma única conta interna. Para cenários mais complexos em que cada usuário precisa de suas próprias credenciais, há uma abordagem mais avançada que usa atributos personalizados do AD para fazer o mapeamento conforme descrito em Gerenciar sua fonte de dados - Analysis Services. Isso permitiria que o administrador da Contoso definisse um mapeamento para cada usuário em sua ID do Microsoft Entra (também usuários B2B externos). Esses atributos podem ser definidos por meio do modelo de objeto do AD usando scripts ou código para que a Contoso possa automatizar totalmente o mapeamento no convite ou em uma cadência agendada.

Governação

Configurações adicionais de ID do Microsoft Entra que afetam experiências no Power BI relacionadas ao Microsoft Entra B2B

Ao usar o compartilhamento B2B do Microsoft Entra, o administrador do Microsoft Entra controla aspetos da experiência do usuário externo. Eles são controlados na página Configurações de colaboração externa nas configurações de ID do Microsoft Entra para seu locatário.

Para obter mais informações, veja Configurar as definições de colaboração externa.

Nota

Por padrão, a opção Permissões de usuários convidados são limitadas está definida como Sim, portanto, os usuários convidados no Power BI têm experiências limitadas, especialmente o compartilhamento de cercamento, onde as interfaces do usuário do seletor de pessoas não funcionam para esses usuários. É importante trabalhar com o administrador do Microsoft Entra para defini-lo como Não, como mostrado abaixo para garantir uma boa experiência.

Controlar convites de convidados

Os administradores do Power BI podem controlar o compartilhamento externo apenas para o Power BI visitando o portal de administração do Power BI. Mas os administradores também podem controlar o compartilhamento externo com várias políticas do Microsoft Entra. Essas políticas permitem que os administradores:

• Desativar convites de usuários finais
• Somente administradores e usuários na função Convidado Convidado podem convidar
• Os administradores, a função de convidado convidado e os membros podem convidar
• Todos os utilizadores, incluindo convidados, podem convidar

Você pode ler mais sobre essas políticas em Convites delegados para colaboração B2B do Microsoft Entra.

Todas as ações do Power BI por usuários externos também são auditadas em nosso portal de auditoria.

Políticas de acesso condicional para utilizadores convidados

A Contoso pode impor políticas de acesso condicional para usuários convidados que acessam conteúdo do locatário da Contoso. Você pode encontrar instruções detalhadas em Acesso condicional para usuários de colaboração B2B.

Abordagens alternativas comuns

Embora o Microsoft Entra B2B facilite o compartilhamento de dados e relatórios entre organizações, existem várias outras abordagens que são comumente usadas e podem ser superiores em certos casos.

Opção alternativa 1: Criar identidades duplicadas para usuários parceiros

Com essa opção, a Contoso teve que criar manualmente identidades duplicadas para cada usuário parceiro no Locatário da Contoso, conforme mostrado na imagem a seguir. Em seguida, no Power BI, a Contoso pode compartilhar com as identidades atribuídas os relatórios, painéis ou aplicativos apropriados.

Razões para escolher esta alternativa:

• Como a identidade do usuário é controlada pela sua organização, qualquer serviço relacionado, como email, SharePoint, etc., também está sob o controle da sua organização. Os administradores de TI podem redefinir senhas, desabilitar o acesso a contas ou auditar atividades nesses serviços.
• Os usuários que usam contas pessoais para seus negócios muitas vezes são impedidos de acessar determinados serviços, portanto, podem precisar de uma conta organizacional.
• Alguns serviços só funcionam sobre os utilizadores da sua organização. Por exemplo, usar o Intune para gerenciar conteúdo em dispositivos pessoais/móveis de usuários externos usando o Microsoft Entra B2B pode não ser possível.

Razões para não escolher esta alternativa:

• Os usuários de organizações parceiras devem se lembrar de dois conjuntos de credenciais: um para acessar conteúdo de sua própria organização e outro para acessar conteúdo da Contoso. Isso é um incômodo para esses usuários convidados e muitos usuários convidados estão confusos com essa experiência.
• A Contoso deve comprar e atribuir licenças por usuário a esses usuários. Se um usuário precisar receber emails ou usar aplicativos do Office, ele precisará das licenças apropriadas, incluindo o Power BI Pro para editar e compartilhar conteúdo no Power BI.
• A Contoso pode querer impor políticas de autorização e governança mais rigorosas para usuários externos em comparação com usuários internos. Para conseguir isso, a Contoso precisa criar uma nomenclatura interna para usuários externos e todos os usuários da Contoso precisam ser instruídos sobre essa nomenclatura.
• Quando o usuário sai de sua organização, ele continua a ter acesso aos recursos da Contoso até que o administrador da Contoso exclua manualmente sua conta
• Os administradores da Contoso precisam gerenciar a identidade do convidado, incluindo criação, redefinições de senha, etc.

Opção alternativa 2: Criar um aplicativo personalizado do Power BI Embedded usando autenticação personalizada

Outra opção para a Contoso é criar seu próprio aplicativo Power BI incorporado personalizado com autenticação personalizada ("O aplicativo possui dados"). Embora muitas organizações não tenham tempo ou recursos para criar um aplicativo personalizado para distribuir conteúdo do Power BI para seus parceiros externos, para algumas organizações essa é a melhor abordagem e merece uma consideração séria.

Muitas vezes, as organizações têm portais de parceiros existentes que centralizam o acesso a todos os recursos organizacionais para parceiros, fornecem isolamento de recursos organizacionais internos e fornecem experiências simplificadas para que os parceiros apoiem muitos parceiros e seus usuários individuais.

No exemplo acima, os usuários de cada fornecedor entram no Portal de Parceiros da Contoso que usa a ID do Microsoft Entra como um provedor de identidade. Ele pode usar o Microsoft Entra B2B, Azure Ative Directory B2C, identidades nativas ou federar com qualquer número de outros provedores de identidade. O usuário entraria e acessaria uma compilação de portal de parceiro usando o Aplicativo Web do Azure ou uma infraestrutura semelhante.

No aplicativo Web, os relatórios do Power BI são incorporados a partir de uma implantação do Power BI Embedded. O aplicativo Web simplificaria o acesso aos relatórios e a quaisquer serviços relacionados em uma experiência coesa destinada a facilitar a interação dos fornecedores com a Contoso. Esse ambiente de portal seria isolado da ID interna do Microsoft Entra da Contoso e do ambiente interno do Power BI da Contoso para garantir que os fornecedores não pudessem acessar esses recursos. Normalmente, os dados seriam armazenados em um armazém de dados de parceiro separado para garantir o isolamento dos dados também. Esse isolamento tem benefícios, pois limita o número de usuários externos com acesso direto aos dados da sua organização, limitando quais dados poderiam estar potencialmente disponíveis para o usuário externo e limitando o compartilhamento acidental com usuários externos.

Usando o Power BI Embedded, o portal pode usar licenciamento vantajoso, usando um token de aplicativo ou o usuário mestre mais capacidade premium comprada no modelo do Azure, o que simplifica as preocupações sobre a atribuição de licenças aos usuários finais e pode aumentar/reduzir a escala com base no uso esperado. O portal pode oferecer uma qualidade geral superior e uma experiência consistente, uma vez que os parceiros acedem a um único portal concebido com todas as necessidades de um parceiro em mente. Por fim, como as soluções baseadas no Power BI Embedded são normalmente projetadas para serem multilocatário, fica mais fácil garantir o isolamento entre organizações parceiras.

Razões para escolher esta alternativa:

• Mais fácil de gerir à medida que o número de organizações parceiras aumenta. Como os parceiros são adicionados a um diretório separado isolado do diretório interno do Microsoft Entra da Contoso, isso simplifica as tarefas de governança de TI e ajuda a evitar o compartilhamento acidental de dados internos para usuários externos.
• Os portais de parceiros típicos são experiências altamente marcadas com experiências consistentes entre parceiros e simplificadas para atender às necessidades de parceiros típicos. A Contoso pode, portanto, oferecer uma melhor experiência geral aos parceiros, integrando todos os serviços necessários em um único portal.
• Os custos de licenciamento para cenários avançados, como a Edição de conteúdo no Power BI Embeddeded, são cobertos pelo Power BI Premium adquirido pelo Azure e não exigem a atribuição de licenças do Power BI Pro a esses utilizadores.
• Fornece melhor isolamento entre parceiros se arquitetado como uma solução multilocatário.
• O Partner Portal geralmente inclui outras ferramentas para parceiros além de relatórios, painéis e aplicativos do Power BI.

Razões para não escolher esta alternativa:

• É necessário um esforço significativo para construir, operar e manter esse portal, tornando-o um investimento significativo em recursos e tempo.
• O tempo até a solução é muito maior do que o uso do compartilhamento B2B, uma vez que é necessário um planejamento e execução cuidadosos em vários fluxos de trabalho.
• Nos casos em que existe um número mais reduzido de parceiros, o esforço necessário para esta alternativa é provavelmente demasiado elevado para se justificar.
• A colaboração com compartilhamento ad-hoc é o principal cenário enfrentado pela sua organização.
• Os relatórios e painéis são diferentes para cada parceiro. Essa alternativa introduz despesas gerais de gerenciamento além de apenas compartilhar diretamente com os parceiros.

FAQ

A Contoso pode enviar um convite que é resgatado automaticamente para que o usuário esteja apenas "pronto para ir"? Ou o usuário sempre tem que clicar no URL de resgate?

O utilizador final deve sempre clicar na experiência de consentimento antes de poder aceder ao conteúdo.

Se você estiver convidando muitos usuários convidados, recomendamos que você delegue isso de seus administradores principais do Microsoft Entra adicionando um usuário à função de convidado convidado na organização de recursos. Esse usuário pode convidar outros usuários na organização parceira usando a interface do usuário de entrada, scripts do PowerShell ou APIs. Isso reduz a carga administrativa sobre os administradores do Microsoft Entra para convidar ou reenviar convites para usuários na organização parceira.

A Contoso pode forçar a autenticação multifator para usuários convidados se seus parceiros não tiverem autenticação multifator?

Sim. Para obter mais informações, consulte Acesso condicional para usuários de colaboração B2B.

Como funciona a colaboração B2B quando o parceiro convidado está usando a federação para adicionar sua própria autenticação local?

Se o parceiro tiver um locatário do Microsoft Entra federado à infraestrutura de autenticação local, o logon único (SSO) local será obtido automaticamente. Se o parceiro não tiver um locatário do Microsoft Entra, uma conta do Microsoft Entra poderá ser criada para novos usuários.

Posso convidar utilizadores convidados com contas de e-mail de consumidores?

O convite de usuários convidados com contas de email de consumidor é suportado no Power BI. Isso inclui domínios como hotmail.com, outlook.com e gmail.com. No entanto, esses usuários podem ter limitações além do que os usuários com contas corporativas ou de estudante encontram.